paint-brush
影子 IT 解释:综合指南 [含统计数据]经过@uniqkey
546 讀數
546 讀數

影子 IT 解释:综合指南 [含统计数据]

经过 Uniqkey10m2023/08/25
Read on Terminal Reader

太長; 讀書

“影子IT”是指未经组织明确批准而在组织内构建和使用的IT 系统和解决方案。它通常是由寻求提高效率而不通过正式渠道的部门或个人推动的。虽然它可以带来创新和敏捷性,但它也带来了重大的安全和合规风险。本指南深入探讨了这一概念,并有相关统计数据的支持,强调了其优点和潜在缺点。
featured image - 影子 IT 解释:综合指南 [含统计数据]
Uniqkey HackerNoon profile picture
0-item


虽然影子 IT(或未经公司明确批准而使用软件、系统或设备)可能会使某些员工的工作变得更轻松,但这种做法也存在组织需要解决的重大缺陷。


在本文中,我们将介绍什么是影子 IT、为什么它对于数据泄露和数据泄露很重要,以及您的 IT 团队可以采取哪些措施来最大程度地减少其影响,包括使用影子 IT 检测和监控工具。最后,由于影子 IT 在某种程度上是不可避免的),我们将评估利用其潜力而不是完全消除它的可能性。

什么是影子IT?

当员工或部门采用或部署技术来满足他们的需求但没有通知 IT 团队他们正在这样做时,就会出现影子 IT


影子 IT 的一些常见示例包括未经授权的:


  • 软件应用程序
  • 云服务(例如 Dropbox)
  • 通讯工具(例如 WhatsApp 或 Trello)
  • 用于工作相关任务的个人设备。


例如,考虑访问个人 Dropbox 帐户、使用 Skype(当公司有 WebEx 时)或从拇指驱动器复制文件或将文件复制到拇指驱动器。

这些都是未经授权使用数字工具的例子,如果这些工具受到损害,可能会给您的组织带来风险。

企业为何会出现影子IT?

由于云技术和软件即服务 (SaaS) 的快速发展,影子 IT 近年来变得更加普遍和复杂。

在许多情况下,业务部门也开始独立采用新的应用程序来推动数字化转型;例如,文件共享程序、项目管理工具和上述基于云的服务。


结果?大型企业30% 到 40%的 IT 支出是影子 IT,企业每年在不必要的 SaaS 许可证和工具上浪费超过 135,000 美元。更重要的是,2023 年的一份报告显示,所有 SaaS 应用程序中有65%是未经授权的应用程序(或 IT 部门尚未批准的应用程序)。

影子 IT 示例

如前所述,影子 IT 是指未经 IT 部门明确批准而使用 IT 系统、设备、软件、应用程序和服务。由于其灵活性和便利性,它已被许多组织广泛采用。然而,虽然它会带来一定的风险,但如果管理得当,它也可以带来好处。


让我们看一些示例来了解影子 IT 的利用方式:


云服务:随着云计算的出现,员工越来越多地使用 Google Drive、Dropbox 或 OneDrive 等第三方云服务来进行文件共享和协作。这些工具可以让您从任何位置轻松访问数据并促进协作,但它们的使用通常没有 IT 部门的监督。


沟通工具:员工经常使用 Slack、WhatsApp 或 Microsoft Teams 等工具进行快速、非正式的沟通。这些平台可以通过允许即时通信来提高生产力。然而,如果在没有适当加密或安全协议的情况下共享敏感信息,它们也可能带来安全风险。


个人设备:员工经常使用个人设备进行工作,称为自带设备 (BYOD)。虽然这可以提高灵活性和工作与生活的平衡,但如果这些设备丢失、被盗或感染恶意软件,也可能会产生漏洞。


未经批准的软件:员工可以下载并安装 IT 部门不批准的软件。这可能包括从项目管理工具到图形设计软件。虽然这些工具可以帮助提高工作效率,但它们也可能会带来兼容性问题或安全漏洞。


硬件:除了软件之外,影子 IT 还可以扩展到硬件,例如个人路由器、存储设备,甚至员工可以安装以改善工作空间的服务器。如果此类设备配置或维护不当,可能会带来严重的安全风险。

影子 IT 安全风险和挑战

影子 IT 给组织带来了看不见的严重安全风险,因为当员工使用未经授权的工具、应用程序、云服务或设备时,就会增加安全漏洞的可能性(事实上,IBM 的一项研究表明, 83%的受访者曾遭受过至少发生一起敏感数据遭到泄露的公司数据泄露事件)。


其中许多工具还缺乏强大的安全措施,例如强加密或依赖弱或默认凭据。


如果您的组织需要遵守特定法规和数据保护法(例如 CCPA 或 GDPR),影子 IT 也可能导致合规性违规,尤其是当您的 IT 部门无法查看或控制正在存储或共享的数据时。例如,我们知道,所有成功的网络攻击中有三分之一来自影子 IT 中存储的数据。


最后,影子IT通常很难与现有基础设施集成,这很容易导致兼容性问题、数据孤岛、系统碎片化、资源使用效率低下、成本失控和冗余。

最新影子 IT 统计数据

以下是影子 IT 的一些最新相关统计数据


影子 IT 统计

  • 80% 的员工承认在未获得 IT 批准的情况下使用 SaaS 应用程序。
  • 影子 IT 云使用量估计是已知云使用量的 10 倍
  • 平均每家公司拥有975 个未知云服务。
  • 大多数公司拥有超过108 种已知的云服务。
  • 37% 的 IT 领导者表示,安全策略是有效员工数字体验的最大挑战
  • 影子 IT 占大型企业IT 支出的 30-40%
  • 82% 的 IT 领导者表示,当管理层试图规定应使用哪些工具时,用户会予以抵制
  • 67% 的员工已将自己的工具引入其组织。
  • 财富 1000 强公司中有三分之一的员工使用未经 IT 部门批准的云服务。
  • 53% 的团队拒绝仅使用 IT 认可的工具。


资料来源: IT 领导者 2023 年需要了解的 124 多项网络安全统计数据


这些统计数据应该可以让您深入了解与影子 IT 相关的流行情况、风险和挑战。

影子 IT 的不同元素

影子 IT 是一个多层面的概念,可以根据所使用的技术类型、使用方式以及使用原因分为不同的元素。以下是影子 IT 的一些关键要素:


  1. 软件即服务 (SaaS) :SaaS 应用程序是影子 IT 的常见形式。它们很容易获得,并且通常是免费的或以较低的成本获得。例如,Dropbox 等文件共享应用程序、Google Docs 等生产力工具或 Slack 等通信平台。员工可能会为了方便和易用而使用这些工具,而通常在 IT 部门不知情或未批准的情况下。
  2. 硬件:这包括未经 IT 部门同意而使用的任何物理设备,例如用于工作目的的个人笔记本电脑、智能手机或平板电脑。它还可能包括员工设置的路由器、服务器或存储设备,以增强他们的工作空间。
  3. 平台即服务 (PaaS) :这些平台允许用户开发、运行和管理应用程序,而无需处理底层基础设施。示例包括 Microsoft Azure、Google Cloud 和 AWS。它们可用于创建自定义应用程序来满足特定的业务需求,通常绕过 IT 协议。
  4. 基础设施即服务 (IaaS) :这涉及通过互联网使用虚拟化计算资源,例如虚拟机、存储或网络。示例包括 AWS、Google Cloud 和 Microsoft Azure。虽然这些服务提供了灵活性和可扩展性,但如果管理不当,它们的使用也可能导致安全漏洞。
  5. 自带设备 (BYOD) :这是指员工出于工作目的使用个人设备的做法。虽然这可以提高便利性和生产力,但如果这些设备丢失、被盗或感染恶意软件,也可能带来安全风险。
  6. 个人电子邮件和帐户:使用个人电子邮件帐户进行与工作相关的通信是影子 IT 的另一种形式。虽然看起来似乎无害,但这种做法可能会导致数据泄露,使组织难以控制信息流。
  7. 未经批准的IT提供商:这是指在未经IT部门明确批准或不知情的情况下使用IT服务提供商或顾问。这些提供商可能不遵守公司的 IT 政策,从而导致潜在的安全风险和合规性问题。


每个要素都会给组织带来不同的挑战和风险。然而,它们也代表着生产力、协作和创新机会的提高。了解这些要素可以帮助组织有效管理影子 IT,利用其优势,同时降低潜在风险。

如何发现和管理影子 IT

防止这些问题的最佳方法是确定您的组织是否正在使用任何影子 IT。为此,您应该考虑的三个最佳实践是治理政策、IT 部门参与和员工教育。让我们快速更详细地了解每一项。


  • 治理政策:始终制定有关公司内部技术资源使用的政策和指南,并确保清楚地传达其后果。
  • IT 部门参与:尝试鼓励员工与 IT 部门之间的开放式沟通与协作。您可以通过营造一个让员工能够轻松地接触 IT 来解决其技术需求和挑战的环境来实现这一目标。
  • 员工教育和意识:不要忘记定期开展培训课程和意识活动,以教育员工了解与影子 IT 相关的风险。


首席信息官 (CIO) 和 IT 团队在管理影子 IT 方面发挥着至关重要的作用。其一,首席信息官可以提供战略领导,定义政策、程序和框架。他们可以与 IT 团队合作,确保以受控且合规的方式使用技术资源。

影子 IT 成本和后果

影子 IT 的成本可能相当巨大,而且不仅仅限于财务方面。尽管实施了多年的现代化举措, CISO仍在努力解决这个老派问题。未经审查的软件、服务和设备可能会引入大量漏洞、不良行为者和恶意软件的入口点,从而带来相当大的安全风险​​。


考虑一下 Gartner 的数据,该数据发现 2022 年,41% 的员工购买、修改或创建了 IT 可见性之外的技术,预计到 2027 年,这一数字将攀升至 75%。同时,Capterra 的 2023 年影子 IT 和项目管理调查研究发现,57% 的中小型企业在其 IT 部门的职权范围之外进行了高影响力的影子 IT 工作​​。


在提供灵活性和用户便利性优势的同时,影子 IT 也带来了组织必须意识到的巨大成本。这些成本大致可分为直接成本和间接成本。

直接成本:

  1. 不必要的费用:如果没有适当的监督和控制,员工可能会订阅多余的服务或购买不必要的许可证,从而导致浪费支出。例如,不同的团队可能会订阅类似的项目管理工具,从而产生不必要的成本。
  2. 增加 IT 支持:影子 IT 通常会导致兼容性问题和增加支持请求。 IT 部门必须花费时间和资源来解决与未经批准的软件或硬件相关的问题。
  3. 安全漏洞:影子 IT 可能会导致网络犯罪分子可以利用的安全漏洞。考虑到经济处罚、失去客户信任以及对公司声誉的损害,数据泄露的成本可能是巨大的。

间接成本:

  1. 生产力下降:使用未经批准或不受支持的工具的员工可能会面临兼容性问题或意外的软件故障。这可能会导致生产力下降,因为员工努力纠正这些问题而不是专注于他们的核心任务。
  2. 合规风险:许多行业对数据管理和隐私都有严格的规定。使用影子 IT 可能会导致违规,从而导致巨额罚款和法律问题。
  3. 数据丢失:影子 IT 可能会导致数据存储在不安全的位置,从而增加数据丢失的风险。恢复丢失数据的成本可能很高,并且在某些情况下,数据可能无法恢复。


虽然影子 IT 的成本可能很高,但重要的是要记住,影子 IT 通常是出于对更好工具或更高效流程的需求而出现的。组织应该专注于有效管理影子 IT,而不是试图消除它

影子 IT 保护技巧

我们已经确定影子 IT 带来了一些重大的安全和合规性挑战。因此,采取有效措施至关重要。


以下是一些防范影子 IT 风险的实用技巧:


  • 为新软件或技术创建批准和配置流程。
  • 定期举办培训课程和意识计划来教育员工。
  • 实施严格的软件采购程序并定期进行网络审核。
  • 制定全面的技术政策和指南。
  • 以赋予 IT 控制权并让员工继续自由采用新工具的方式管理影子 IT。
  • 让您的组织的网络安全解决方案保持最新。
  • 确保关键系统、应用程序和数据的访问控制到位。

影子 IT 的好处

尽管影子 IT 可能会带来许多安全风险,但请务必记住,它可能会给您的组织带来好处。关键在于利用它的力量而不是完全消除它。


请记住,影子 IT 可以使员工快速采用和利用适合其特定需求的工具和技术。例如,他们可以尝试最初不在组织路线图中的创新工具。


不同部门会有集中式 IT 系统可能无法完全满足的独特需求。影子 IT 可以让这些部门找到并实施专门的服务。那么,如何监控这些应用程序以确保不会牺牲安全性?

监控影子 IT 的简单工具

限制其使用的另一种方法是实施影子 IT 解决方案来检测和管理应用程序及其相关风险。


Uniqkey可以做到这一点以及更多。


利用影子 IT 力量的关键是将其暴露出来。作为我们企业密码管理解决方案的一部分,Uniqkey 提供所有公司服务的详细概述,使您的组织能够:


  • 了解您的员工正在使用哪些服务;监控和发现组织内的影子 IT。
  • 发现潜在的安全弱点,识别漏洞及其对您的业务活动的潜在影响。
  • 节省非活动许可证的费用。


实施 Uniqkey 等影子 IT 工具可以帮助您适应和满足不断变化的技术要求,确保您可以评估所有新兴应用程序及其与现有基础设施的兼容性。


也发布在这里